СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.05.2025
#ИБ

Новая угроза кибербезопасности: группа Nebulous Mantis

Новая угроза кибербезопасности: группа Nebulous Mantis

Nebulous Mantis, также известная как Cuba или Tropical Scorpius, представляет собой русскоязычную группу кибершпионажа, активно действующую с середины 2019 года. Основные цели этой группы в значительной степени связаны с геополитикой, включая:

  • Критически важные объекты инфраструктуры;
  • Правительственные учреждения;
  • Политические лидеры;
  • Оборонные структуры, связанные с НАТО.

Методы работы Nebulous Mantis включают в себя фишинг, через который группа инициирует атаки с использованием троянской программы удаленного доступа RomCom (RAT). С начала 2022 года они перешли на RomCom, отказавшись от других вредоносных программ.

Технические особенности RomCom

RomCom использует изощренные методы уклонения, включая:

  • Тактика «жизни вне земли» (LOTL);
  • Зашифрованные коммуникации командования и контроля (C2);
  • Применение пуленепробиваемых сервисов хостинга.

Кроме того, группа ежемесячно меняет домены для C2, что значительно усложняет усилия по обнаружению вредоносной активности. RomCom также включает множество методов антианализа, что позволяет успешно обходить традиционные меры безопасности.

Механизмы внедрения и разведки

После загрузки на устройство жертвы, RomCom устанавливает соединения с несколькими доменами, используя децентрализованные технологии, такие как Межпланетная файловая система (IPFS). Это повышает устойчивость к обнаружению и позволяет:

  • Проводить разведку;
  • Перемещаться по сети;
  • Утекать конфиденциальные данные.

В ходе своей деятельности группа придает особое значение кражам учетных данных и конфигураций системы. Также они используют методы, такие как перехват COM и обратное туннелирование по SSH, для получения дополнительного доступа к системам жертв.

Структура управления и завершение операций

Хакеры управляют своими действиями через веб-панель C2, что позволяет им:

  • Отслеживать взломанные устройства;
  • Выполнять команды, адаптированные для конкретных операций.

Ключевыми особенности панели являются:

  • Шаблоны сбора данных;
  • Многопользовательская инфраструктура.

По завершении операций Nebulous Mantis внедряет программу-вымогатель, шифрующую скомпрометированные данные и требующую выкуп.

Государственно спонсируемые операции

Эта хакерская группа вызывает серьезные опасения у специалистов по кибербезопасности, учитывая их целенаправленность на правительственные и военные структуры в юрисдикциях НАТО. Операционная сложность, интеграция передовых технологий для распространения вредоносных программ и постоянное совершенствование методов подтверждают, что Nebulous Mantis представляет собой грозную угрозу с потенциально серьезными последствиями, выходящими за рамки обычных сфер киберпреступности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: